反序列化漏洞

安全博客

Spring-Kafka 反序列化漏洞(CVE-2023-34040)分析

当受影响版本的 Spring-Kafka Consumer 未对Record配置 ErrorHandlingDeserializer 并设置 checkDeserExWhenKeyNull 或 che...

02月27日9 views评论

阅读全文

安全博客

Apache Dubbo 反序列化漏洞复现笔记

Apache Dubbo支持多种协议，官方推荐使用 Dubbo 协议，CVE-2019-17564是属于Apache Dubbo HTTP协议中的一个反序列化漏洞，当Apache Dubbo启用HTT...

02月27日12 views评论

阅读全文

安全博客

Shiro 1.2.4 反序列化漏洞

Shiro作为Java的一个安全框架，其中提供了登录时的RememberMe功能，让用户在浏览器关闭重新打开后依然能恢复之前的会话。而实现原理就是将储存用户身份的对象序列化并通过AES加密、base6...

02月27日15 views评论

阅读全文

安全漏洞

Apereo-cas 4.x反序列化漏洞

Apereo-cas 4.x反序列化漏洞影响范围Apereo-cas 4.1.7之前漏洞成因Webflow中使用了默认密钥changeit，代码如下：publicclassEncryptedTrans...

02月24日33 views评论

阅读全文

会Java代码审计不就把别人卷死了。。。

1. 请解释Java反序列化漏洞的根本原因，并说明为何攻击者可以通过反序列化执行任意代码？答案 Java反序列化的核心问题在于其默认机制允许通过ObjectInputStream的readObjec...

02月23日代码审计36 views评论

阅读全文

安全新闻

Hitachi Vantara Pentaho未经信任的数据反序列化漏洞

漏洞描述:应用程序在没有充分验证结果数据是否有效的情况下反序列化不受信任的数据,Hitасhi Vаntаrа Pеntаhо Buѕinеѕѕ Anаlуtiсѕ Sеrvеr版本在10.2.0.0...

02月21日15 views评论

阅读全文

安全百科

01定义想象一下，你有一个复杂的玩具（对象），为了方便存放，你把它拆成零件（序列化）。当你需要玩的时候，再把零件拼回去（反序列化）。序列化：将对象（如Java对象、PHP数组）转换为字符串或二进制数据...

02月18日23 views评论

阅读全文

安全职场

原来想去网安大厂，反序列化是跑不了的，被技术面麻了

最近一个星球中的小伙伴想我诉苦，说他面试的时候面试官尽然一只在问他反序列化相关的问题，他尽然emo了，今天特意的整理了下网络安全中常见的反序列化相关的面试题，需要的抓紧收藏。网络安面试题库截止目前已...

02月18日39 views评论

阅读全文

代码审计

Exchange 反序列化漏洞分析（一）

前言这是 Exchange 反序列化漏洞分析系列的第一篇。这篇文章先来分析一下 CVE-2021-42321，为下一篇 CVE-2022-23277 做铺垫。0x01 漏洞简介2021.10.16...

02月15日20 views评论

阅读全文

Trimble Cityworks 需授权反序列化漏洞

漏洞情报Trimble Cityworks 需授权反序列化漏洞【漏洞编号】CVE-2025-0994【情报等级】高危【漏洞描述】360漏洞云监测到Trimble发布关于Cityworks...

02月15日安全新闻20 views评论

阅读全文

安全文章

RASP | FastJson反序列化漏洞回顾

与原生的Java反序列化的区别在于，FastJson反序列化并未使用ObjectInputStream.readObject()方法，而是由FastJson自定一套反序列化的过程。通过在反序列...

02月13日17 views评论

阅读全文

安全漏洞

CVE-2022-25237 Bonitasoft Platform 从认证绕过到未公开反序列化漏洞发现之旅

漏洞信息Bonitasoft 从 Dockerhub 下载超过 500 万次，它是一个业务自动化平台，可以更轻松地在业务流程中构建、部署和管理自动化应用程序。CVE-2022-25237 Bonita...

02月13日12 views评论

阅读全文

Spring-Kafka 反序列化漏洞(CVE-2023-34040)分析

Apache Dubbo 反序列化漏洞复现笔记

Shiro 1.2.4 反序列化漏洞

Apereo-cas 4.x反序列化漏洞

会Java代码审计不就把别人卷死了。。。

Hitachi Vantara Pentaho未经信任的数据反序列化漏洞